Freepbx
Уязвимости
43
Эксплуатируемые
2
Макс. CVSS
10
Макс. EPSS
0.8736
Распределение по критичности
Критический
8
Высокий
17
Средний
17
Низкий
1
Затронутые диапазоны версий
13.0.0.0–13.0.197.1313.0–13.0.26.913.0–13.0.76.4314.0.10.2–14.0.10.714.0–14.0.5.2115.0–15.0.6616.0.17.2–16.0.2016.0.2–16.0.1716.0–16.0.1016.0–16.0.4916.0–16.0.517.0.19.11–17.0.21< 13.0.122.43< 13.0.5.4< 13.0.92< 14.0.10.3< 15.0.18< 15.0.38< 16.0.22< 16.0.41< 16.0.44< 16.0.45< 16.0.50< 16.0.68.39
Также сопоставлено как (исходные строки): contactmanager,freepbx,restapps,manager
Топ уязвимостей
CVE-2025-57819FreePBX — это открытый веб‑интерфейс графического управления. Уязвимость затрагивает модуль «endpoint» в версиях FreePBX 15, 16 и 17, где пользовательские данные недостаточно экранируются, что позволяет неавторизованному атакующему получить доступ к панели администратора FreePBX, произвести произвольные изменения в базе данных и выполнить удалённый код (RCE). Уязвимость раскрыта в начале августа 2025 года, когда злоумышленники использовали ошибку валидации входных параметров модуля endpoint для доступа к системе, выставив её в публичный Интернет без ограничений IP‑фильтрации (подробности в [1] и [2]).
Для защиты рекомендуется немедленно обновить модуль до исправленных версий 15.0.66, 16.0.89 или 17.0.3 (пакет endpoint в стабильных репозиториях). Обновление можно выполнить через веб‑интерфейс администратор → Module Admin или командой:
$ fwconsole ma upgradeall
или, при необходимости, скачав конкретную версию:
$ fwconsole ma downloadinstall endpoint --tag 16.0.89
$ fwconsole ma downloadinstall endpoint --tag 17.0.3
Также следует ограничить доступ к администраторскому интерфейсу с помощью модуля Firewall (разрешить только известные IP), проверить отсутствие файлов‑мусора, например /var/www/html/.clean.sh, и отследить POST‑запросы к modular.php в журналах веб‑сервера (zgrep modular.php /var/log/{httpd,apache2}/*access*). При обнаружении следов эксплуатации рекомендуется выполнить процедуры восстановления, включая резервное копирование, переустановку системы и ротацию всех учётных данных.
Источники:
- [1] https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h
- [2] https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203
CVE-2014-7235htdocs_ari/includes/login.php в модуле ARI Framework/Asterisk Recording Interface (ARI) в FreePBX до версий 2.9.0.9, 2.10.x и 2.11 до 2.11.1.5 позволяет удаленным злоумышленникам выполнять произвольный код через cookie ari_auth, связанный с функцией PHP unserialize, как это было использовано в дикой природе в сентябре 2014 года.
CVE-2021-45461FreePBX, при установке restapps (также известного как Rest Phone Apps) 15.0.19.87, 15.0.19.88, 16.0.18.40 или 16.0.18.41, позволяет удаленным злоумышленникам выполнять произвольный код, как это было использовано в реальных условиях в декабре 2021 года. Исправленные версии — 15.0.20 и 16.0.19.
CVE-2020-36630В FreePBX cdr 14.0 обнаружена уязвимость. Она была классифицирована как критическая. Это затрагивает функцию ajaxHandler файла ucp/Cdr.class.php. Манипуляция аргументом limit/offset приводит к SQL-инъекции. Обновление до версии 14.0.5.21 позволяет устранить эту проблему. Имя патча — f1a9eea2dfff30fb99d825bac194a676a82b9ec8. Рекомендуется обновить затронутый компонент. Соответствующий идентификатор этой уязвимости — VDB-216771.
CVE-2020-10666Модуль restapps (aka Rest Phone apps) для Sangoma FreePBX и PBXact 13, 14 и 15 до 15.0.19.2 позволяет удаленное выполнение кода через переменную URL для команды AMI.
CVE-2019-19006Sangoma FreePBX 115.0.16.26 и ниже, 14.0.13.11 и ниже, 13.0.197.13 и ниже имеют неправильный контроль доступа.
CVE-2026-46376FreePBX - это IP-PBX с открытым исходным кодом. С 15.0.42 до 16.0.45 и 17.0.7 пользователи с ограниченной аутентификацией могут получить доступ к панели управления пользователями (UCP) с использованием файлов с жестким кодом исходных шаблонов, если они не были немедленно изменены Администратором, который включил UCP. Аутентифицированный доступ к ACP необходим для первоначальной настройки общих шаблонов UCP, но после этого, без дальнейших шагов администратора, неаутентифицированные пользователи могут получить доступ. Эта уязвимость фиксируется в 16.0.45 и 17.0.7.
CVE-2025-66039FreePBX Endpoint Manager - это модуль для управления конечными точками телефонии в системах FreePBX. Версии уязвимы для обхода аутентификации, когда тип аутентификации установлен на «веб-сервер». При предоставлении заголовка авторизации с произвольным значением сеанс связан с целевым пользователем независимо от действительных учетных данных. Данный выпуск зафиксирован в версиях 16.0.44 и 17.0.23.
CVE-2023-43336Обнаружено, что Sangoma Technologies FreePBX до cdr 15.0.18, 16.0.40, 15.0.16 и 16.0.17 содержит проблему контроля доступа через измененное значение параметра, например, изменение extension=self на extension=101.
CVE-2024-58294FreePBX 16 содержит аутентифицированную уязвимость удаленного выполнения кода в модуле API, которая позволяет злоумышленникам с действительными учетными данные сеанса выполнять произвольные команды. Злоумышленники могут использовать конечную точку «генеративных» путем создания вредоносных запросов POST с помощью инъекции команды bash для установления удаленного доступа к снаряду.
CVE-2026-28287FreePBX - это IP-APX с открытым исходным кодом. От версий 16.0.17.2 до 16.0.20 и от версии 17.0.2.4 до 17.0.5, в модуле записей существуют множественные уязвимости инъекций команд. Этот выпуск был исправлен в версиях 16.0.20 и 17.0.5.
CVE-2026-28284FreePBX - это IP-APX с открытым исходным кодом. До версий 16.0.10 и 17.0.5 модуль журналов FreePBX содержит несколько аутентифицированных уязвимостей инъекций SQL. Эта проблема была исправлена в версиях 16.0.10 и 17.0.5.
CVE-2026-28210FreePBX - это IP-APX с открытым исходным кодом. До версий 16.0.49 и 17.0.7, модуль FreePBX cdr (Call Data Record) уязвим для инъекций запросов SQL. Эта проблема была исправлена в версиях 16.0.49 и 17.0.7.
CVE-2025-67736Модуль бесплатного PBX tts (Text to Speech) для FreePBX, графического пользовательского интерфейса с открытым исходным кодом (GUI), который управляет Asterisk. Версии до 16.0.5 и 17.0.5 уязвимы для инъекций SQL аутентифицированными пользователями с доступом администратора. Аутентифицированные пользователи с административным доступом к панели управления администратора (ACP) могут использовать эту уязвимость инъекций SQL для извлечения конфиденциальной информации из базы данных и выполнения кода в системе в качестве пользователя «sterisk» с прикованной высотой до «корневых» привилегий. Пользователи должны обновиться до версий 16.0.5 или 17.0.5, чтобы получить исправление.
CVE-2025-62173# # Резюме
Аутентифицированная уязвимость инъекций SQL в исходном модуле Rest API
CVE-2026-44238FreePBX - это IP-PBX с открытым исходным кодом. До 16.0.50 и 17.0.11 страница модуля отчетов CDR позволяет инъекции SQL через параметры заказа и сортировки POST. Требуется аутентификация с помощью учетной записи панели управления администрированием FreePBX, которая имеет доступ к разделу CDR. Полные привилегии администратора не нужны. Эта уязвимость исправлена в 16.0.50 и 17.0.11.
CVE-2025-59429FreePBX - это GUI с открытым исходным кодом для управления Asterisk. В версиях до 16.0.68.39 для FreePBX 16 и версиях до 17.0.18.38 для FreePBX 17, отраженная уязвимость кросс-сайта присутствует на странице статуса Aterisk HTTP. Страница статуса Asterisk HTTP открыта FreePBX и по умолчанию доступна в версии 16 через любой связанный IP-адрес в порту 8088. По умолчанию в версии 17, привязка только к локальному ИС, что делает ее значительно менее уязвимой. Уязвимость может быть использована неаутентифицированными злоумышленниками для получения файлов cookie от зарегистрированных пользователей, что позволяет им захватить сеанс административного пользователя. Кража админ-сессий-факультетов позволяет злоумышленникам получить контроль над интерфейсом администратора FreePBX, позволяя им получать доступ к конфиденциальным данным, изменять конфигурации системы, создавать учетные записи бэкдора и вызывать нарушение работы сервиса. Эта проблема была исправлена в версии 16.0.68.39 для FreePBX 16 и версии 17.0.18.38 для FreePBX 17.
CVE-2026-44239FreePBX - это IP-PBX с открытым исходным кодом. До 16.0.22 и 17.0.5 обработчик AJAX модуль Dashboard включает в себя файлы PHP на основе пользовательского ввода без дезинфекции пути. Параметр $_REQUEST['rawname'] конкатенируется в звонок включительно () с суффиксом .class.php, что позволяет осуществлять обход пути через ../ последовательности включать произвольные файлы .class.php из файловой системы. PHP-код включительного файла выполняется до того, как произойдет ошибка инстанциации последующего класса. Эта уязвимость зафиксирована в пунктах 16.0.22 и 17.0.5.
CVE-2026-44237FreePBX - это IP-PBX с открытым исходным кодом. До 17.0.8 реализация OAuth2 модуля FreePBX api не в достаточной степени проверяет учетные данные клиентов во время выпуска токенов. Требуется знание действительного клиента. Метод validateClient() в ClientRepository.php безоговорочно возвращает true, позволяя любой стороне, знающей действительный client_id, получать токены доступа OAuth2 без предоставления правильного клиент-секретаря. Эта уязвимость исправлена в 17.0.8.
CVE-2026-28209FreePBX - это IP-APX с открытым исходным кодом. От версий 16.0.17.2 до 16.0.20 и от версии 17.0.2.4 до 17.0.5, при использовании движка ElevenLabs Text-to-Speech (TTS) существует в модуле записи (TTS) уязвимость в инъекциях. Этот выпуск был исправлен в версиях 16.0.20 и 17.0.5.
CVE-2014-1903admin/libraries/view.functions.php в FreePBX 2.9 до 2.9.0.14, 2.10 до 2.10.1.15, 2.11 до 2.11.0.23 и 12 до 12.0.1alpha22 не ограничивает набор функций, доступных для обработчика API, что позволяет удаленным злоумышленникам выполнять произвольный код PHP через параметры function и args к admin/config.php.
CVE-2012-4869Функция callme_startcall в recordings/misc/callme_page.php в FreePBX 2.9, 2.10 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольные команды через параметр callmenum в действии c.
CVE-2024-53564Обнаружена уязвимость в FreePBX 17.0.19.17. Она не проверяет тип загружаемых файлов (действительный модуль FreePBX), что позволяет администраторам с высокими привилегиями вставлять нежелательные файлы. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что нет никакого риска, кроме того, что администраторам с высокими привилегиями намеренно разрешено делать.
CVE-2019-19538Удаленный обход аутентификации в Senior Rubiweb 6.2.34.28 и 6.2.34.37 позволяет получить административный доступ к конфиденциальной информации затронутых пользователей, использующих уязвимые версии. Злоумышленнику достаточно предоставить правильный URL.
CVE-2018-6393FreePBX 10.13.66-32bit и 14.0.1.24 (SNG7-PBX-64bit-1712-2) допускают SQL-инъекцию после аутентификации через параметр order. ПРИМЕЧАНИЕ: поставщик оспаривает эту проблему, потому что намеренно, что пользователь может «непосредственно изменять SQL-таблицы... [или] запускать shell-скрипты... после... входа в интерфейс администрирования; нет необходимости пытаться найти ошибки проверки ввода».